Virtualisatie kampt in 2017 met verse securitytrends. Beveiliging op individuele VM-basis valt niet vol te houden en evoluerende digitale dreigingen dwingen nieuwe aanpak af. Dit zijn vijf securitytrends voor virtualisatie.
Focus op integratie
De tijd is voorbij dat bedrijven zich blindstaren op de features van securityproducten. In plaats daarvan richten zij zich op soepele integratie tussen uiteenlopende systemen, verwacht ik. Dit geldt voor security-oplossingen voor gevirtualiseerde servers én voor VDI (Virtual Desktop Infrastructure). Beveiligingsbewuste bedrijven gaan in 2017 meer voor beveiligingsoplossingen die op een diep niveau integreren in de virtualisatie-infrastructuur. Zo zijn cyberaanvallen in een vroeg stadium al te detecteren.
Daarnaast is deze geïntegreerde beveiliging voor virtualisatie in staat om informatie over kwaadaardige activiteit gericht en vlot door te geven. Organisaties kunnen dan snel beslissingen nemen om dreigingen te isoleren en te analyseren. Dit valt nog sneller uit te voeren met een automatiseringsplatform dat direct managementbeslissingen implementeert, inclusief het toepassen van benodigde ICT-veranderingen. Gebruikers op dit niveau van volwassenheid willen security-oplossingen die integreren met virtualisatie-oplossingen waar automatiseringsmogelijkheden zijn ingebouwd, zoals VMware vSphere met NSX.
Overigens geniet een aanpak zonder agent-software de voorkeur. Zo blijft de systeembelasting voor virtuele servers zo laag mogelijk. Securitysystemen komen dus meer in aanmerking als zij ook volledig agent-loos kunnen werken.
Hybride cloudbescherming
Een opkomende trend is de overgang van private naar hybride clouds. Ondernemingen zullen privé IT-infrastructuur combineren met publieke cloudinfrastructuur. In 2017 zullen veel meer bedrijven systemen hebben die ze buiten de eigen beschermende ICT-muren kunnen en zelfs moeten brengen. Dit om dichter bij hun klant te kunnen opereren. Slimme inzet van publieke clouds maakt dit makkelijker.
De groei van publieke clouds, inclusief de kosten van infrastructuur- en security-oplossingen, zal tegen 2020 een factor 2,5 tot 3 toenemen. De grote cloudaanbieders, zoals Microsoft Azure, Amazon Web Services (AWS) en Google blijven de markt aanvoeren. Zij versterken hun aanbod niet alleen voor betere betrouwbaarheid, grotere beschikbaarheid of een breder bereik. Naast die drie kritieke zaken zijn er nog andere belangrijke factoren, zoals een betere gebruikerservaring plus het bieden van veelomvattende automatiserings- en integratiemogelijkheden voor workloads in de cloud.
Die cloud is dan dus de combinatie van on-premise en off-premise omgevingen, die vervat worden in een enkele architectuur dat een unified beheer kent. Deze opzet levert specifieke security-vereisten op, waar traditionele security-oplossingen niet aan kunnen voldoen. Die ‘oude’ concurrenten ontberen namelijk een volledig bereik aan functionaliteit voor elastische clouds in hybride bedrijfsopstellingen. Daarnaast kunnen ze niet snel en effectief meegaan met veranderingen in die infrastructuur. Veranderingen die nodig zijn voor groei van de business.
Meer aanvallen en meer schade
Het aantal cyberaanvallen op ondernemingen zal alleen maar toenemen. Het valt te betwijfelen of grote organisaties in staat zijn alle processen in hun infrastructuur in de gaten te houden qua security. Dit staat nog los van virtualisatie, wat bij ruim 75 procent van de ondernemingen momenteel al in gebruik is. Soms doet VDI dienst als bescherming tegen datavernietiging, maar daar is een gloednieuwe variant van de Shamoon-malware juist weer tegen bewapend.
Verder zal de detectietijd voor lopende aanvallen toenemen door de complexiteit van grote ICT-infrastructuren. De oplopende detectietijd zorgt weer voor grotere schade. In een grote onderneming communiceert namelijk alles met alles, waardoor een infectie snel door het hele ‘organisme’ kan razen. Symptomen zijn dan te identificeren, maar de oorzaak is daarmee niet gelijk duidelijk, laat staan aangepakt. Voor genezing moet de bron worden gevonden.
Deze zware taak wordt nog eens bemoeilijkt als niet alle elementen goed in de gaten worden gehouden. Het kan dan wel maanden duren voordat een organisatie doorheeft dat het wordt aangevallen. Een cyberinbraak kan al veel schade veroorzaken, maar een niet opgemerkte breach is nog veel gevaarlijker.
Natuurlijk kunnen security-oplossingen voor virtuele omgevingen niet op eigen houtje alle risico’s wegnemen. Ondernemingen moeten hiervoor complexe security-strategieën implementeren die verder gaan dan de achterhaalde notie dat antivirus beschermt tegen alle malware. Er is meer nodig. Denk aan maatwerk en dienstverlening zoals penetratietests, APT-rapporten (advanced persistent threats), cybersecurity-trainingen voor personeel, etc.
Ransomware blijft VDI raken
Maatwerk is niet alleen aan de orde wat bescherming betreft. Maatwerk speelt ook bij de aanvallen. Ransomware is een gevaarlijk voorbeeld daarvan. De dreiging van Crypto-locker en andere zogeheten crypto-malware heeft een groeiende impact, vooral op gevirtualiseerde desktops. Gijzelingssoftware kan net zo goed een virtuele als een fysieke pc-werkplek raken.
Alleen zijn de risico’s veel groter in het geval van VDI. Een geïnfecteerde virtuele machine is namelijk direct verbonden met de back-end systemen in een datacenter, waar het immers draait. Het lokaliseren en neutraliseren van malware die in een virtuele workspace zit, kan een flinke impact hebben op de hele ICT-infrastructuur. Daarmee heeft het vinden en uitschakelen van digitale dreigingen gelijk een impact op de bedrijfsprocessen. Dat heeft het Britse VESK, aanbieder van cloud en hosted desktops, vorig jaar op harde wijze ondervonden.
Het ergste scenario is als malware weet door te dringen in het standaard-template (golden image) voor VDI. Dan is elke virtuele werkplek al vooraf geïnfecteerd en duiken er dagelijks honderden besmette machines op, draaiend in het datacenter.
Het beschermen van VDI verschuift dus van ‘simpelweg’ grensbewaking (perimeter security) naar het niveau van elke virtuele machine. Traditionele security-oplossingen die zich puur op endpoint protection richten, schieten tekort. VDI-gebruikende organisaties moeten dus op zoek naar efficiënte security-oplossingen die specifiek zijn ontworpen voor gevirtualiseerde omgevingen.
Mobility vereist unified security
Hoe groter de organisatie, hoe meer moeite het kost om alles veilig en beveiligd te houden. De toenemende mobiliteit van gebruikers is een complicerende factor hierbij. Werknemers hebben naadloze toegang nodig tot de diensten en applicaties van de organisatie, ongeacht hun locatie. Veel organisaties zullen dus enterprise mobility management software implementeren, soms voor wel duizenden endpoints. Het gebruik van beheersoftware zoals bijvoorbeeld VMware AirWatch vereist weer hechte integratie met de security-oplossingen die het geheel moeten beschermen.
Mobiele devices brengen vele voordelen met zich mee, maar kennen twee voorname problemen: datalekkage en hackgevaar. Laatstgenoemde komt in de praktijk meestal neer op kwaadaardige apps. Hackers hebben op conferenties als Black Hat al uit de doeken gedaan hoe BYOD (bring your own device) en VDI succesvol zijn aan te vallen met malware-apps.
Het implementeren van VDI verkleint weliswaar het risico van dataverlies en van ongewenste device-toegang. Maar toch zijn er nog uitdagingen voor unified security management om hetzelfde hoge beschermingsniveau te bieden voor alle verschillende besturingssystemen en devices die een organisatie benut voor mobiele productiviteit.